西湖“論劍”話安全

本刊記者

所謂WEB應用，通俗地講，就是企

事業機構在互聯網上開放的應用入口，也是通常意義上人們常說的“網站”，其前端接受用戶在WEB瀏覽器上發送請求，后端則和企業后臺的數據庫及其他內部動態內容通信。由于WEB應用的天然開放性，以及各種WEB軟硬件漏洞的不可避免性，使得黑客們將注意力從以往對網絡服務器的攻擊逐步轉移到了對WEB應用的攻擊上。

根據最新調查，信息安全攻擊有75%都是發生在WEB應用而非網絡層面上。同時，數據也顯示，三分之二的WEB站點都相當脆弱。但目前，絕大多數企業將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證WEB應用本身的安全。2011年底，國內互聯網業界爆發的眾多知名網站“泄密門”系列事件，其實只是掀開WEB應用威脅的冰山一角。今天，WEB應用防護和數據安全已經成為企事業機構信息安全綜合體系中的核心與重點。

日前，在工信部信息安全協調司、浙江省經信委、杭州市經信委等單位和機構的指導和支持下，2012（首屆）中國WEB應用防護與數據安全高峰論壇在杭州舉行。來自安全界德高望重的專家學者、從中央到地方的各級相關信息化管理部門的領導、國內各重要行業機構和單位信息化主管領導以及眾多中國信息安全企業界老總們，以“技術創新和行業應用”為主題，通過專家演講、嘉賓互動和WEB攻防實戰演習等形式，對WEB應用防護的技術體系建設和產品服務創新，尤其是針對國家重要基礎行業應用的創新；構建行業WEB應用防護安全體系；國際WEB應用防護最新技術與理念；內網數據安全的管理架構與技術體系；重要行業WEB應用高安全防護實踐等話題進行深入探討。

本次大會覆蓋了幾乎所有當前信息安全方面的迫切問題，充分交流信息安全產業發展趨勢，瞭望信息安全行業應用的態勢，引導用戶的采購選型，達到構筑業界最大交流平臺、促進產業發展、溝通行業應用、推動我國信息安全建設穩步前進之目的。

建立網絡秩序是網絡信息安全工作的努力方向

當前，以互聯網為基礎的信息空間、信息網絡已經成為政府和民眾交流以及商務交流、貿易交流的一個重要平臺，成為我們工作學習的重要空間，甚至已經成為我們世界經濟重要的一種基礎設施。因此，互聯網世界迫切需要建立起應有的秩序。

正如浙江省經信委胡蓓姿處長在論壇上所言：眾所周知的個人信息安全問題、公共系統的信息安全問題，包括其他工作當中遇到的信息安全問題，都與在網絡空間中建立秩序緊密相關。我們既要維護網絡空間的活力、網絡空間的創造力，同時又要維護網絡空間的公平公正；要讓所有人在網絡上能夠表達自己的思想和言論的同時，又要在空間當中擔負起相應的責任，讓每個人能夠依法行事。這是網絡維持秩序的基礎，也是政府信息安全主管部門一直致力于網絡安全努力的方向。

近年來，我國信息安全的理論研究逐步成熟，信息安全政策框架逐步形成，信息安全部門的責任逐步明確，各項信息安全基礎工作、基礎設施建設都取得了一定發展。在浙江，信息安全工作圍繞著構建可信、可靠的目標，建立了俗稱“136”的工程，從管理、控制、技術三個方面全面加強安全信息建設。“1”即起協調作用的網絡與信息安全協管平臺。因為網絡安全管理涉及到各個管理部門，所以浙江省經信委作為信息安全的主管協調機構，要發揮各個職能部門的作用，形成合力，加強對網絡的管理；“3”是三個重點領域，即電子政務、電子商務和十個重點行業；“6”即六大體系建設工程，根據安全信息保障的要求，在6個方面加強信息安全的工程建設。

WEB安全面臨云計算時代的新挑戰

WEB作為互聯網核心，是將來云計算和移動互聯網最佳的載體，因此，WEB安全在云計算時代更要引起我們的高度關注。

國家信息中心專家委員會委員寧家駿認為：云計算和新一代移動通信時代的到來，向信息安全提出了新的挑戰。首先，信息安全與我們密切相關。當前互聯網正在不斷地向移動化發展，用戶對互聯網無所不在的接入，以及從社會向用戶的轉入，使得國家政府、企業和個人，面臨著更為嚴峻的網絡危機。WEB的安全、虛擬化的安全是云計算必須要解決的核心問題，它既有原來傳統安全問題的延伸，也帶來了新的問題。比如說位置信息的泄露、身份信息的泄露以及一些其他領域。所以沒有安全的云計算將是一個“暈計算”。其次，信息安全面臨著新的形勢。當前我國自身建設發展由于對安全重視不夠，頂層設計和統一規劃不夠，使得目前的信息安全自身存在著問題；另一方面，由于改革的深入和發展，人們的公平意識、民主意識、權利意識、法制意識在不斷增強，使得網絡管理面臨著巨大的內部挑戰。此外，我國很多基于互聯網的應用系統還存在著規模龐大、協議開放、應用邏輯復雜等問題，這也為提升重要信息安全系統保障提出了更加嚴峻的挑戰。

因此說，新技術的應用延伸出了更加復雜的安全問題，使得國家政府、企業和個人，面臨著更為嚴峻的網絡危機。來自國外的安全威脅以及互聯網競爭優勢不對稱態勢日益增加，更讓我國網絡和信息安全問題日益嚴峻和緊迫。我國云計算面臨的安全問題，既包括云計算集中化建立的設施安全，也包括數據的安全和平臺的安全，更包括應用的安全。安全已經成為當前推進云計算必須解決的主要問題之一。

前不久，在國家發改委正式頒布的《“十二五”國家政務信息化建設工程建設規劃》中，明確規定將加強信息安全保密作為該規劃的重點工作之一，強調要滿足信息化發展實際需要，堅持自主可控，著力提升國家網絡與信息安全保障。在規劃中明確列出了兩項任務，第一是加強互聯網出入口管理，第二是加強涉密信息系統安全管理。在今后的工作中，必須要通過建立完善的認證機制，進一步加強云中數據安全，特別是增強對安全的重視度；要加快制訂相關的管理辦法和標準，來提升云計算和云服務的管理，明確各方的責任；要加強對云服務專項工作的監管，同時要開展對云服務技術安全的檢查，來加強對云計算中心安全保障工作的風險評估和安全檢查；同時更要發展自己創新的云安全的服務和產品，推動具有自主知識產權的云安全產品和服務的產業化發展。

國家規范和標準為安全保駕護航

如果說，五年前，WEB安全、數據安全未得到大多數人們的重視，其相關理念需要去推動、教育、說服。那么，今天各個行業與安全相關規范如網銀擔保等的相繼出臺，使這一現象大有改觀。應邀出席此次高峰論壇的中國人民銀行金融信息中心部門主任王梅和國家信息中心高級工程師、副處長王笑強為我們解讀了相關的國家規范和標準。

隨著電子商務快速的發展，我國近幾年網銀發展非常快，目前交易量已經超過商業銀行50%以上。總的來說，網銀的發展還是比較安全的，但由于目前網銀交易認證機制存在著缺陷和黑客組織惡意滲透破壞等原因，針對網銀的趨利性犯罪態勢也越來越明顯。據中國人民銀行金融信息中心部門主任王梅介紹：針對WEB安全和數據安全，2009年人民銀行開始致力于制訂網銀規范，并于近期正式發布了《網上銀行系統信息安全通過規范》。該規范以安全技術規范、安全管理規范和業務運作安全規范為基本內容，具有強針對性、可操作性、前瞻性和全面性的特點。《規范》作為一項法律法規的依據，為監管部門檢查提供了標準化的依據，能有效促進網銀整體安全水平，在網銀安全使用中具有里程碑的意義。

數據恢復服務主要是采用一種計算機軟硬件技術，把無法正常讀取或者數據丟失文件的還原服務。隨著近年來電子數據已經成為個人生活和工作當中的核心，數據恢復服務也逐步成長為信息安全產業中一個比較重要的部分，甚至可以說它已經成為了我國政府、企業保護個人數據最后一道重要防線。但由于目前我國數據恢復服務市場缺乏規范、沒有標準，相對來說比較混亂：數據恢復服務與數據恢復技術不完全等同，擁有了技術并不代表能夠提供服務；而且無論是提供恢復數據的人還是選擇數據恢復服務的人，往往都缺乏數據保護意識。面對這樣的市場，國家信息中心正在研究制訂相關的國家標準——《存儲介質數據恢復服務規范》，它是規范技術實施的規范，主要是規范基本的數據要求，包括管理、實施條件和過程及安全方面的一些要求。這個《標準》主要是信息安全專項服務的標準，通過規范服務機構、規范服務行為來滿足客戶的需求，有助于客戶選擇公司或者接受服務。然而，國家信息中心高級工程師、副處長王笑強認為，作為數據恢復服務，僅僅制訂這樣的標準還是不夠的，還應該增加部門的監管、監督，并對實施的人員進行監管，通過立法等多種形式的監管，來管理數據恢復服務的市場。

總之，如何做好信息安全，應該分很多層面，比如政策層面、產品或者服務。那么，做好信息安全的重點和突破點又在哪里？從“9·11”恐怖襲擊事件發生后導致的許多保險公司和金融機構因為數據完全丟失而造成破產的殘酷現實面前，人們深刻體會到了數據安全的重要性；從94%的數據漏洞與WEB有關的數據里，人們看見了應用處于最前沿的WEB卻處在保護的最薄弱狀況狀態。因此，我們有理由確定：做好信息安全的兩大突破點，一個是WEB安全，一個是數據安全。